8. Впровадження сімейства міжнародних стандартів ISO/IEC 27000 в організаціях України
Останнім часом неможливо уявити сучасну організацію і процес управління нею без підтримки інформаційних технологій. Надійні інформаційні технології є вкрай необхідними для роботи організації.
Забезпечення безпеки інформації та інших об’єктів інформатизації – важливе завдання для будь-якої організації. Кожен власник організації і призначене ним керівництво вже не може закривати очі на поточний стан інформаційних систем, вони повинні бачити і розуміти потреби організації в інформаційному забезпеченні, вирішувати існуючі інформаційні проблеми. Звичайно ж, кожна організація певним чином вже працює над забезпеченням інформаційної безпеки. Проте, цього недостатньо.
В загальному розумінні інформаційна безпека в організаціях України пов’язана з обмеженням доступу третіх осіб до інформації. Насправді, це лише одна з частин загального комплексу завдань, які пов’язані з інформаційною безпекою. Передові світові організації (корпорації) вирішують набагато більший комплекс проблем, який пов’язаний з інформаційною безпекою. Їх робота над безпекою економить засоби організації як в процесі роботи, так і за рахунок нейтралізації небажаних наслідків.
Позитивним моментом є відкритість і доступність міжнародних підходів до забезпечення інформаційної безпеки на високому рівні.
Кращі світові практики в сфері управління інформаційною безпекою описані в міжнародному стандарті на системи менеджменту інформаційної безпеки ISO/IEC 27001. Стандарт ISO/IEC 27001 встановлює вимоги до системи менеджменту інформаційної безпеки для демонстрації здатності організації захищати свої інформаційні ресурси.
Поняття «захисту інформації» трактується міжнародним стандартом як забезпечення конфіденційності, цілісності і доступності інформації.
Крім конфіденційності стандарт чітко вказує на обов’язковість роботи над іншими, найчастіше більш важливими властивостями. Такими властивостями є доступність і цілісність .
Рис. 1.5. Властивості інформації (інформаційних активів)
Приклад. Працівник на своєму робочому місці, виконуючи функціональні обов’язки, часто пізно отримує інформацію від свого підлеглого чи сусіднього підрозділу. Як результат, це позначається на його робочому процесі. Цей інцидент ілюструє приклад порушення доступності інформації. З іншої сторони, бувають випадки, коли працівник отримує інформацію вчасно, але вона містить помилки. Ці помилки можуть бути зумовлені людським фактором, збоєм в роботі комп’ютера або іншою причиною, або множиною причин. Цей інцидент показує приклад порушення цілісності інформації.
Інформаційна безпека не повинна асоціюватися з параноїдальним бажанням приховати, заблокувати і видалити конфіденційну інформацію. За такого підходу наміри щодо захисту інформації зумовлять, як мінімум, втрату доступності багатьох інформаційних ресурсів, що може зумовити набагато складніші фінансові наслідки, ніж їх втрата (витік). Завжди необхідно пам’ятати про розумну рівновагу, забезпечуючи одночасно всі три властивості – конфіденційність, цілісність, доступність. При цьому, завжди необхідно розуміти єдино правильну мету роботи організації. Ця мета не може бути розглянута в площині кращої оснащеності обладнанням або високої компетентності персоналу. Наприклад, єдиною метою фінансової організації є отримання фінансових засобів. Виняток можуть становити благодійні і схожі до них організації.
Основним об’єктом стандарту ISO/IEC 27001:2005 є інформаційний актив – матеріальний або нематеріальний об’єкт, який:
є інформацією або містить інформацію;
слугує для оброблення, зберігання або передавання інформації;
має цінність для організації.
Прикладами інформаційних активів можуть бути: договори з клієнтами, фінансова звітність, персональні дані клієнтів і/або працівників, технологічна карта, журнал реєстрації листів, проекти нових засобів або послуг, ноутбук з інформацією про фінансовий стан організації, сервер з інформацією про клієнтів, архів (приміщення) з паперовим...